グーグル
現在、サイトの 90% 以上が Chrome ユーザーによって HTTPS を使用して開かれていることに注意してください。 通信チャネルが制御されている場合 (たとえば、オープン Wi-Fi 経由で接続している場合)、暗号化せずにロードされた挿入が存在すると、保護されていないコンテンツが変更されるため、セキュリティ上の脅威が生じます。 混合コンテンツ インジケーターは、ページのセキュリティを明確に評価できないため、効果がなく、ユーザーに誤解を招くことが判明しました。
現在、スクリプトや iframe などの最も危険な種類の混合コンテンツはデフォルトですでにブロックされていますが、画像、音声ファイル、ビデオは引き続き http:// 経由でダウンロードできます。 画像のなりすましを通じて、攻撃者はユーザー追跡 Cookie を置き換えたり、画像プロセッサの脆弱性を悪用したり、画像内で提供された情報を置き換えることによって偽造を行ったりすることができます。
ブロッキングの導入はいくつかの段階に分かれています。 79 月 10 日にリリースされる予定の Chrome XNUMX には、特定のサイトのブロックを無効にできる新しい設定が追加されます。 この設定は、スクリプトや iframe など、すでにブロックされている混合コンテンツに適用され、鍵マークをクリックするとドロップダウン メニューから呼び出され、ブロックを無効にするために以前に提案されたインジケーターが置き換えられます。
80 月 4 日にリリースされる予定の Chrome 81 では、オーディオ ファイルとビデオ ファイルにソフト ブロッキング スキームが使用され、http:// リンクが https:// に自動的に置き換えられ、問題のあるリソースが HTTPS 経由でもアクセスできる場合には機能が維持されます。 。 画像は変更せずに読み込まれ続けますが、http:// 経由でダウンロードした場合、https:// ページではページ全体に安全でない接続インジケーターが表示されます。 https に自動的に変更するか画像をブロックするには、サイト開発者は CSP プロパティの upgrade-insecure-requests と block-all-mixed-content を使用できるようになります。 17 月 XNUMX 日に予定されている Chrome XNUMX では、混合画像アップロード時に http:// が https:// に自動修正されます。
さらに、Google
機密性を維持するために、外部 API にアクセスするときは、ログインとパスワードのハッシュの最初の XNUMX バイトのみが送信されます (ハッシュ アルゴリズムが使用されます)。
出所: オープンネット.ru